我在 ASA 集群上遇到远程访问 VPN 连接的奇怪问题。
正常的站点到站点隧道和 AnyConnect 连接工作正常。但是,特殊的 ipsec ikev1 隧道不会。它建立并保持运行,但客户端(在本例中为 Avaya VPN 电话)既没有收到客户端地址,也没有要求(有点不确定该怪谁)。
此图像显示连接建立时的情况。请注意,分配的 IP 地址为空。字节 TX 为“0”是很自然的,因为内部网络没有要路由到的客户端。
我尝试通过 ASDM 调试它,但没有成功。我对 CLI 没有足够的信心来进行控制台调试,因为我们大量使用“通知”关键字来匹配我们拥有的每个 ACL。
建议?
这需要一些工作才能弄清楚..
首先 - 客户端(或电话,准确地说)没有获得 IP 地址的原因是电话配置错误。它没有设置“Config IKE”标志,这意味着它基本上丢弃了从 ASA 推送的任何配置。
当我解决这个问题时,另一个主要问题出现了。事实证明,我们的 AnyConnect 客户端根本无法工作。我们最近升级到 ASA 8.4.4 试图解决另一个问题,这个版本带来了一个针对 NAT 规则的新规则检查器,这样它们就不会与备用 IP 地址冲突:
http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080bcf110.shtml
这对我们来说是一个主要的障碍,因为我们在大型 MPLS 网络的防火墙后面有数以百万计的子网,其中 VPN 客户端需要连接。创建新的主机/网络组只是为了不与备用 IP 冲突对我来说至少需要两天的工作,所以我将降级到 ASA 8.4.3,直到 Cisco 可以为此找到更好的解决方案。